中文版putty等SSH远程管理工具被曝出存在后门

oldghost

刚收到阿里云的mail关于前一阵子putty带后门的问题，以及检查和解决方法，供大家参考。


尊敬的阿里云用户:
    您好!
近日，阿里云·云盾安全服务中心发现：中文版putty等SSH远程管理工具被曝出存在后门，该后门会自动窃取管理员所输入的SSH用户名与口令，并将其发送至指定云服务器上。对此进行分析，预计影响范围：中文版putty、 WinSCP、SSHSecure和psftp等软件，而这些软件的英文版本不受影响。
分析细节如下，请您重点关注：

一、受影响的云服务器特征
1．进程 .osyslog 或 .fsyslog 消耗CPU超过100~1000% ( .osyslog与 .fsyslog可能为随机)
2．有网络连接往 98.126.55.226:82（大概为主控）
3．机器疯狂外发数据
4．/var/log被删除
5．同IP旁扫出现一个域名 oxoddos.com 并且站点名带中文
二、检查方法
若云服务器或终端出现上述情况，可参照以下方法检查，确认是否受影响。
1. 服务器：
方法1．etc目录下存在.fsyslog或者.osyslog文件;
方法2．lib目录下存在.fsyslog或者.osyslog文件。
2. 个人终端：
目前的杀毒软件基本支持该后门的检测，所以个人终端只需更新杀毒软件至最新版本，然后做整体的扫描检查。
三、修补建议
若受到影响，请参照如下步骤进行修补：
1．卸载中文版putty，WinSCP，SSH Secure；
2．下载官方的PUTTY，WinSCP，SSH Secure重新安装；
3．修改云服务器等的登录信息。
温馨提醒：官方链接
http://www.putty.org
http://winscp.net
http://www.ssh.com/
四、问题下载源
以下链接已确认其下载文件存在后门：
putty.ws
www.putty.org.cn
www.winscp.cc
www.sshsecure.com


阿里云计算官方
2012年2月10日

我是人

哦。。。又出现了。

http://www.loc.niceguy.workers.dev/search.ph ... it=yes&kw=putty

ㄒiger

老新闻了

用户名

不是第一天了

nop

现在才发现~

辰景

貌似已经过了很久了

ivv

火星了

信仰

老早的事情了~

店长推荐

后知后觉

苁林老鬼

  都很久了